Introdução

O Squarespace tem o compromisso de manter uma postura de segurança forte. Nós incentivamos os profissionais de segurança a realizarem a divulgação responsável e a nos informar imediatamente caso descubram alguma vulnerabilidade. Investigaremos todos os relatórios legítimos e faremos o acompanharemos caso haja necessidade de mais detalhes. Antes de relatar alguma vulnerabilidade, siga as nossas Diretrizes de Divulgação Responsável e os Critérios de Envio descritos abaixo.

Diretrizes de divulgação responsável

We have a private bug bounty managed by HackerOne where security issues must be reported. If you can please send us your HackerOne username, we can have you invited to the program where you can resubmit this report and have it properly triaged.

Critérios de envio

No escopo:

  • Execução remota de código no servidor (RCE)

  • Cross-site Scripting (XSS)

  • Falsificação de solicitação entre locais (CSRF)

  • Falsificação de solicitação no servidor (SSRF)

  • Injeção de SQL (SQLi)

  • Ataques de entidade externa de XML (XXE)

  • Problemas de controle de acesso (ACI)

  • Divulgação de arquivo local (LFD)

Fora do escopo:

  • Squarespace Extensions

  • Transferência de privilégios de uma função que não é de administrador para uma função de administrador.

  • Todos os ataques de um usuário a outro usuário no mesmo site.

  • Todos os sites de clientes do Squarespace que não pertencem ao pesquisador.

  • Negação de serviço em nível de rede.

  • Negação de serviço em nível de aplicativo. Se alguma solicitação demorar para responder, comunique-nos. Não faça o DoS do sistema.

  • Self-XSS. We allow our users to add arbitrary scripts to their sites. Injecting a script in a tag as the site-owner is equivalent to this functionality.
    Note: Self-XSS on a site’s /config route may be acceptable

  • Referência insegura direta de objeto para ids que não podem ser adivinhadas.

  • Envios duplicados que estão sendo corrigidos.

  • Várias denúncias para o mesmo tipo de vulnerabilidade com pequenas variações.

  • Todos os fluxos de OAuth.

  • Problemas na limitação de taxa.

  • Problemas no tempo limite de sessão.

  • Correção de problemas com menos de 90 dias.

  • Vulnerabilidades de 0 dia com menos de 30 dias.

  • Orientações sobre a complexidade de senha.

  • Inexistência da validação de e-mail.

  • E-mail ou enumeração do usuário.

  • Clickjacking ou problemas exclusivamente vulneráveis ao clickjacking.

  • Problemas de XSS que afetam somente browsers desatualizados.

  • Redirecionamentos abertos estão fora do escopo.

  • Falta de sinalizadores de segurança em cookies.

  • Força bruta de senha.

  • Download de arquivo refletido (RFD).

  • Problemas que exigem acesso físico ao computador da vítima.

  • Problemas que exigem acesso privilegiado à rede da vítima.

Denúncia de possível fluxo de trabalho de vulnerabilidade

If you are a Squarespace customer, please file a support request with any security concerns by clicking here.

If you are a security researcher, please enter your HackerOne username below